Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Поймали шифровальщика

Dmitriy007
 Share Подписчики 2

Рекомендуемые сообщения

Dmitriy007

Dmitriy007 1

Опубликовано
Опубликовано

Добрый день, поймали шифровальщика, сам шифровальщик удалился, прикладываю необходимые файлы 

Addition.txt FRST.txt Shortcut.txt для заявки о шифровальщике.7z

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 294

Опубликовано
Опубликовано

Здравствуйте!

 

Пока пробуем определить тип вымогателя.

Попробуйте найти пару - зашифрованный документ (картинка) и его не зашифрованная копия.

 

А также соберите, пожалуйста, такой лог:

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 294

Опубликовано
Опубликовано

Уточню: здесь отвечают не сотрудники ЛК, а энтузиасты.

Если вам нужен официальный ответ, обратитесь непосредственно в ТП:

для домашнего пользователя https://support.kaspersky.ru/b2c/#contacts

для пользователя корпоративным продуктом https://support.kaspersky.ru/b2b/#contacts

 

У нас пока не получается определить тип вымогателя, извините.

Ссылка на сообщение
Поделиться на другие сайты
Dmitriy007

Dmitriy007 1

Опубликовано
  • Автор
Опубликовано

Может будет полезно, вся активность проходила с учетной записи Revalt. Со слов админа, эта учетка была создана для внешнего специалиста, который помогал настраивать 1с, но последние работы проводились в апреле месяце. Судя по датам изменения злоумышленник сидел на машине с 17:32 22.07.2023 до 06:02 23.07.2023 В архиве подозрительные данные которые удалось выдернуть с машины. Diag.exe идентифицируется как малварь, по длл реакции ни какой. Возможно касперу это будет полезно. 

123.zip

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

diag.exe - это обычный стиратель, создающий и забивающий мусором файлы 0F3LWP.tmp (затем они удаляются снова) на всех логических дисках. Видимо в этих файлах при работе шифровальщика хранится некая потенциально полезная информация для расшифровки.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • pom87
      Шифровальщик black.
      От pom87
      Поймали шифровальщик на сервер и Nas, не дает открывать файлы или запускать программы - всем "присваивается"  расширение .black. На локальных компьютерах такого нет только через удаленный доступ к серверу или NAS.
      Файлы зашифрованные.rar Addition.txt FRST.txt
×
×
  • Создать...